Acceso remoto — Preguntas frecuentes

Q: 1. ¿Cuál es la diferencia entre la VPN y el Proxy de navegador?

Ambos alcanzan dispositivos de la red de una planta, pero a niveles distintos. La VPN ofrece una conexión de red completa desde tu ordenador a las redes de planta para las que estás autorizado, así que funciona cualquier protocolo (web, SSH, Modbus, tus propias herramientas). El Proxy de navegador es más limitado y más controlado: abre en tu navegador la interfaz web HTTP o HTTPS de un dispositivo concreto, sin cliente VPN, alcanzando únicamente los destinos web que se han configurado. Usa el Proxy para tareas rápidas en el navegador y la VPN cuando necesites una conexión de red real.

Q: 3. ¿Quién puede conectarse a la red de mi planta mediante VPN?

Solo las personas con acceso de nivel Operador a esa planta obtienen una ruta VPN hacia ella — concedida directamente sobre la planta, heredada a través del rol de Administrador o Moderador de la organización, o recibida mediante una cooperación que otorga el rol de Operador. Los Technical Manager, los Asset Manager, los Visualizadores y los roles comerciales no reciben conectividad VPN.

Q: 12. ¿Quién puede usar el Proxy?

El Proxy está abierto a un conjunto de roles más amplio que la VPN — Operador y Technical Manager en la planta, incluidos los Administradores y Moderadores de la organización que se asignan a esos roles y los miembros de cooperaciones que los ostentan; los Visualizadores quedan denegados. Es deliberadamente más amplio que la VPN, exclusiva del Operador, porque el radio de impacto del proxy de navegador es mucho menor: solo alcanza interfaces web de dispositivos configuradas, nunca la red bruta de la planta.

Q: 13. ¿El Proxy requiere autenticación de dos factores?

Sí. Abrir un dispositivo a través del Proxy requiere tener activa la autenticación de dos factores (TOTP) en tu cuenta. Sin ella, el Proxy se niega a abrir un dispositivo, sea cual sea tu rol. El dispositivo puede además imponer su propio inicio de sesión, de modo que pueden existir dos capas de autenticación independientes.

Q: 9. ¿Cómo se retira el acceso? ¿Y con qué rapidez?

Cuando se retira tu rol, cambia tu pertenencia a la organización o termina una cooperación, la planta se elimina de tus rutas accesibles en cuestión de segundos tras el cambio de permiso, y la vía de red se desmantela poco después. Una verificación periódica en segundo plano vuelve a comprobar cada perfil activo para corregir cualquier desviación. El mismo cambio de permiso también retira el acceso al Proxy.

Q: 20. ¿Se registra cada acceso? ¿Qué estándar cumple el registro?

Sí — tanto el acceso por VPN como por Proxy se registran automáticamente. El registro de acceso está diseñado para cumplir los requisitos de registro de acceso remoto de KRITIS de Alemania y NIS2 de la UE: registra quién se conectó, cuándo, desde dónde, a qué subredes y dispositivos de la planta se llegó, qué protocolos y puertos, y cuánto tráfico se movió; para el Proxy registra además la actividad de solicitudes a nivel web. Los registros se conservan durante 730 días (24 meses) y los usuarios no pueden editarlos ni eliminarlos.

Q: 21. ¿Quién puede ver el registro de acceso? ¿Puedo ver mis propias conexiones?

El registro de acceso completo de una planta está reservado a los operadores responsables de esa planta — de nivel Technical Manager o superior sobre esa planta, incluidos los técnicos invitados por cooperación. El usuario que se conecta no puede ver el registro de auditoría del operador; solo puede revisar su propio historial de conexiones en su perfil. Los usuarios no pueden editar ni eliminar los registros de auditoría.

Q: 18. ¿La red de mi planta necesita un puerto de entrada abierto?

No. El agente local siempre marca hacia fuera, hacia la nube de Mirox, así que la red de tu planta solo necesita conectividad de salida. No se abre ningún puerto de entrada, y la red de la planta solo es accesible mientras el túnel de salida del agente está activo. Esto es así tanto para la VPN como para el Proxy.

Q: 7. ¿Qué cifrado usa la VPN?

La VPN personal usa WireGuard con criptografía moderna — intercambio de claves Curve25519 y cifrado autenticado. Tu clave privada se genera en tu propio dispositivo y Mirox nunca la almacena. El túnel es dividido: solo el tráfico destinado a redes privadas de planta entra en él, mientras que tu tráfico de internet normal permanece en tu propia conexión.

Q: 5. ¿Puede un técnico externo obtener acceso a una de mis plantas?

Sí, a través de una cooperación, y solo bajo las mismas reglas que tu propio personal: el acceso por VPN sigue requiriendo el rol de Operador en la planta compartida, y el acceso por Proxy requiere Operador o Technical Manager. La concesión se limita exactamente a lo que compartes, cada conexión se audita y puedes revocarla en cualquier momento.

Mirox te ofrece dos formas de alcanzar los dispositivos de la red de una planta desde cualquier lugar: la VPN, una conexión de red completa para cualquier protocolo, y el Proxy de navegador, una vía exclusiva del navegador hacia la interfaz web de un dispositivo. Esta página responde a las preguntas de seguridad que ambos plantean — quién puede conectarse, cómo se concede y se retira el acceso, qué se registra y cómo se mantiene disponible el servicio. En resumen: el acceso remoto es una capacidad deliberadamente escalonada y de mínimo privilegio, cada conexión se atribuye a una persona con nombre y se registra para fines de cumplimiento, y la red de tu planta nunca tiene que exponer un puerto de entrada. Para las descripciones completas de cada función consulta VPN y Proxy; para el detalle de la auditoría consulta Registro de auditoría de acceso.

Elegir entre la VPN y el Proxy

1. ¿Cuál es la diferencia entre la VPN y el Proxy de navegador?

Alcanzan los dispositivos de la planta a dos niveles distintos. La VPN da a tu ordenador una conexión de red real hacia las redes de planta para las que estás autorizado — funciona cualquier protocolo (la interfaz web de un dispositivo, SSH, Modbus, SNMP o tus propias herramientas de ingeniería), lo cual es potente pero implica que es la forma de acceso con más privilegios. El Proxy de navegador es la opción deliberadamente más limitada y más controlada: abre directamente en tu navegador la interfaz web HTTP o HTTPS de un dispositivo concreto, sin ningún cliente que instalar, y solo puede alcanzar los destinos web que se han configurado para un dispositivo — nunca direcciones y puertos arbitrarios de la LAN de la planta. Elige el Proxy para las tareas cotidianas en el navegador; elige la VPN cuando realmente necesites una conexión a nivel de red.

2. ¿Cuál debería usar y por qué tienen restricciones diferentes?

Usa el Proxy cuando la tarea vive en un navegador — consultar el portal de un inversor, la interfaz de un registrador de datos, la administración web de un conmutador. Usa la VPN cuando necesites un protocolo no web o tus propias herramientas hablando directamente con los dispositivos. Tienen restricciones intencionadamente diferentes: la VPN está reservada únicamente al rol Operador, porque un túnel de red completo tiene un gran radio de impacto; el Proxy se abre a un conjunto de roles más amplio porque solo puede alcanzar páginas web preaprobadas, así que el peor caso es mucho menor. Restringir con rigor la herramienta potente y abrir más la herramienta limitada es el núcleo del diseño de mínimo privilegio.

VPN — Acceso y permisos

3. ¿Quién puede conectarse a la red de mi planta mediante VPN?

La conectividad VPN se concede únicamente al rol Operador — es el nivel de acceso a la planta con más privilegios, y es el único rol que materializa rutas VPN. Una persona alcanza el nivel de Operador de una de estas tres formas: una concesión directa de Operador sobre la planta concreta, la herencia a través del rol de Administrador o Moderador de la organización (ambos se asignan a Operador en las plantas de su propia organización), o mediante una cooperación que otorga el rol de Operador en una planta compartida. Todos los que están por debajo — Technical Manager, Asset Manager (Technical), Asset Manager (Commercial), Visualizador, miembros normales e invitados — no reciben una ruta VPN. Es un diseño escalonado deliberado: el amplio público del día a día nunca obtiene un túnel de red bruto hacia la planta.

4. ¿Qué puede hacer un Technical Manager si no puede conectarse por VPN?

Un Technical Manager no obtiene un túnel de red, pero no queda excluido del trabajo remoto. Puede usar el Proxy de navegador para abrir directamente en el navegador la interfaz web de un dispositivo, puede leer el registro de auditoría de acceso completo de la planta y, a nivel de organización, puede gestionar los servicios VPN de la organización y las asignaciones a plantas. La separación es intencionada: el Proxy, exclusivo del navegador, tiene un radio de impacto mucho menor que un túnel de red completo, así que se abre a un conjunto de roles más amplio, mientras que la ruta VPN bruta permanece reservada al nivel de Operador. Consulta el Sistema de permisos para ver la correspondencia completa entre roles y trabajos.

5. ¿Puede un técnico externo obtener acceso a una de mis plantas?

Sí — a través de una cooperación — y bajo exactamente las mismas reglas que tu propio personal. El acceso por VPN sigue requiriendo que la cooperación otorgue a la persona externa el rol de Operador en la planta compartida; el acceso por Proxy requiere Operador o Technical Manager. Ninguna cooperación puede repartir más de lo que tú decides compartir, cada conexión que realiza el técnico externo se registra en el registro de auditoría de acceso de tu planta igual que una interna, y puedes reducir o revocar la cooperación en cualquier momento, lo que retira su acceso en cuestión de segundos.

VPN — Perfiles, claves y enrutamiento

6. ¿Por qué cada persona recibe su propio perfil VPN en lugar de uno compartido?

Un perfil personal es lo que hace posible la responsabilidad individual. Como cada conexión está vinculada a una cuenta de Mirox con nombre, el registro de auditoría de cumplimiento puede responder "quién se conectó" en cada sesión — una clave compartida lo haría imposible. Un perfil personal también permite a cada usuario rotar o revocar sus propias claves de forma independiente sin afectar a nadie más, y mantiene la custodia de la clave del lado del usuario: la clave privada se genera en el propio dispositivo del usuario y Mirox nunca la almacena. La configuración se muestra una sola vez cuando la creas o la rotas; si la pierdes, simplemente rotas para obtener una nueva.

7. ¿Qué cifrado usa la VPN?

La VPN personal usa WireGuard con criptografía moderna: intercambio de claves Curve25519 y cifrado autenticado. Tu clave privada se genera en tu propio dispositivo y nunca lo abandona — Mirox solo ve tu clave pública. El túnel es un túnel dividido: solo el tráfico destinado a redes privadas de planta entra en él, mientras que tu tráfico de internet habitual (web, correo, videollamadas) permanece en tu propia conexión y nunca pasa por Mirox. Consulta la guía de configuración de la VPN personal para saber cómo emitir e importar tu perfil.

8. ¿Cómo aparecen nuevas plantas en mi VPN sin volver a descargar nada?

Tu archivo de configuración es fijo durante toda la vida de tu perfil — nunca lo reimportas cuando cambia tu acceso. La parte que cambia se mantiene del lado de Mirox: el conjunto de subredes de planta que tu perfil puede alcanzar se calcula a partir de tus permisos actuales y se mantiene sincronizado de forma continua. En el momento en que se te concede acceso de Operador a una nueva planta, las redes de esa planta pasan a ser accesibles a través de tu túnel existente, normalmente en cuestión de segundos, sin reinstalación y sin que tengas que hacer nada. Una planta cuyo agente local aún no está desplegado se muestra como "aún no accesible" y se activa automáticamente en cuanto su agente está en línea.

VPN — Revocación y aislamiento

9. ¿Cómo se retira el acceso? ¿Y con qué rapidez?

Cuando termina tu acceso de Operador — porque se retira tu rol, cambia tu pertenencia a la organización o se reduce o termina una cooperación — la planta afectada se elimina de tus rutas accesibles en cuestión de segundos tras el cambio de permiso, y la vía de red se desmantela poco después en la siguiente reconciliación. Una verificación periódica en segundo plano vuelve a comprobar de forma independiente cada perfil activo frente a los permisos actuales y corrige cualquier ruta que ya no debería existir, de modo que un único evento perdido no puede dejar el acceso abierto. El mismo cambio de permiso también retira tu acceso al Proxy. Si se elimina tu cuenta de usuario, tu acceso remoto se detiene en cuestión de segundos mientras se conserva el historial de cumplimiento que generaste durante el periodo de retención legal.

10. ¿Cómo se aíslan entre sí las distintas plantas y organizaciones?

La conexión de cada usuario se limita a un conjunto aislado de rutas derivado únicamente de las propias autorizaciones de Operador de ese usuario más cualquier alcance de cooperación invitado explícitamente. Las subredes para las que no estás autorizado simplemente nunca se enrutan para ti — no existe vía de red desde tu túnel hacia las redes de planta de otra organización, y los usuarios de una organización no pueden ver los de otra. La accesibilidad se deriva de los permisos de extremo a extremo, así que el aislamiento se impone por lo que se enruta, no solo por lo que se muestra en la interfaz.

11. ¿Qué ocurre cuando dos plantas usan el mismo rango de IP interno?

Esto se gestiona explícitamente. Si dos plantas que puedes alcanzar usan el mismo rango local (por ejemplo, dos plantas en 192.168.1.0/24), el sistema detecta el solapamiento y lo marca en tu lista de rutas en lugar de adivinar. Tú decides cuál de las plantas en conflicto tiene prioridad para ti, así que nunca hay ambigüedad sobre a qué red estás llegando. También puedes deshabilitar temporalmente una ruta para alcanzar la otra y luego volver a cambiar.

El Proxy de navegador

12. ¿Quién puede usar el Proxy?

El Proxy está abierto a Operador y Technical Manager en la planta — incluidos los Administradores y Moderadores de la organización que se asignan a esos roles, y los miembros de cooperaciones que los ostentan. Los Visualizadores y los roles comerciales quedan denegados. Esto es deliberadamente más amplio que la VPN, exclusiva del Operador, por una razón: el Proxy solo puede alcanzar interfaces web de dispositivos preaprobadas, así que incluso en el peor caso la exposición es mucho menor que un túnel de red completo. Configurar qué páginas web de dispositivos existen como destinos es en sí mismo una acción de nivel Technical Manager o superior.

13. ¿El Proxy requiere autenticación de dos factores?

Sí. Abrir un dispositivo a través del Proxy requiere tener activa la autenticación de dos factores (TOTP) en tu cuenta; sin ella, el Proxy se niega a abrir un dispositivo, sea cual sea tu rol. Esto es más estricto que el resto de la plataforma precisamente porque el Proxy es una vía hacia equipos en funcionamiento. Por encima de tu inicio de sesión en Mirox y la verificación en dos pasos, el propio dispositivo puede requerir su propio inicio de sesión, así que a menudo hay dos capas de autenticación independientes protegiendo un dispositivo.

14. ¿Se almacenan mis contraseñas de dispositivos y quién puede verlas?

Las credenciales de dispositivos que guardas para el Proxy (y para las comprobaciones de conexión de dispositivos) se mantienen en una bóveda de credenciales cifrada, y el acceso para introducirlas o usarlas está reservado a Operador y Technical Manager en la planta. Nunca se exponen a otros roles, nunca se muestran al asistente de IA y nunca se escriben en los registros. El Proxy gestiona solo el transporte y el control de acceso del lado de Mirox; la propia autenticación del dispositivo sigue en vigor.

15. ¿Puede entrar alguien si comparto un enlace del proxy?

No — una URL del proxy no es una concesión de acceso. La dirección de la interfaz web de un dispositivo a través del proxy es estable y se puede compartir, pero quien la abra aún tiene que haber iniciado sesión en Mirox, pasar la autenticación de dos factores y ostentar el rol requerido en esa planta. Un enlace por sí solo no alcanza nada; la comprobación de permisos ocurre en cada solicitud.

Disponibilidad y resiliencia

16. ¿Qué tan robusto es el acceso remoto? ¿Qué ocurre si falla un servidor o una región?

La plataforma se ejecuta en múltiples regiones de centros de datos europeos independientes al mismo tiempo, cada una ejecutando la pila completa, y dentro de cada región el acceso remoto lo sirven múltiples servidores — así que no hay un único punto de fallo. Tu conexión siempre se adhiere a un punto de entrada en buen estado; si uno deja de estar disponible, se restablece automáticamente contra otro servidor en buen estado, y no tienes que reconfigurar nada. Combinado con la supervisión automática de los agentes locales, la arquitectura está diseñada para ofrecer una disponibilidad del 99,999%.

17. ¿Qué mantiene disponible el lado de la planta?

El agente local de cada planta está supervisado por una capa de orquestación que verifica de forma continua tanto su existencia como su disponibilidad en un ciclo corto. Si un agente falta, deja de responder o falla su host, se reinicia, se vuelve a desplegar o se reubica automáticamente en otro host en buen estado — sin una visita al emplazamiento. Una salvaguarda garantiza que el mismo agente nunca se ejecute en dos lugares a la vez. Como el agente es lo que termina la conexión del lado de la planta tanto para la VPN como para el Proxy, esta supervisión es lo que mantiene tu planta accesible.

18. ¿La red de mi planta necesita un puerto de entrada abierto?

No. El agente local siempre es la parte que marca hacia fuera, hacia la nube de Mirox; la conexión se establece desde dentro de la red de tu planta. Por tanto, tu cortafuegos solo necesita conectividad de salida — no se abre ningún puerto de entrada, y nada en la internet pública puede iniciar una conexión hacia la red de tu planta. Esto vale tanto para la VPN como para el Proxy.

19. ¿Es el agente la única vía hacia la red de mi planta?

Sí. La red de la planta pasa a ser accesible a través de la plataforma solo mientras el túnel de salida del agente local está activo, y todo el tráfico autorizado — VPN o Proxy — alcanza la planta a través de ese agente. Es el único punto de entrada, y está limitado a su propia planta: no puede alcanzar, ni es una vía hacia, ninguna otra planta o red.

Auditoría y privacidad

20. ¿Se registra cada acceso? ¿Qué estándar cumple el registro?

Sí — cada conexión VPN y cada sesión de Proxy las registra automáticamente la plataforma a medida que fluye el tráfico; los usuarios no pueden influir en lo que se captura. El registro de acceso está diseñado para cumplir los requisitos de registro de acceso remoto de KRITIS de Alemania y NIS2 de la UE. Para cada acceso registra quién se conectó, cuándo y desde dónde (IP de origen y región geográfica), a qué subredes y dispositivos de la planta se llegó y qué protocolos y puertos; para el Proxy registra además la actividad de solicitudes web (el dispositivo alcanzado, el número de solicitudes y los métodos, el volumen de datos). Los registros se conservan durante 730 días (24 meses) de forma predeterminada y luego se eliminan automáticamente. La profundidad de esta auditoría se trata por completo en la página Registro de auditoría de acceso.

21. ¿Quién puede ver el registro de acceso? ¿Puedo ver mis propias conexiones?

El registro de acceso completo de una planta solo es visible para los operadores responsables de esa planta — de nivel Technical Manager o superior en la planta, incluidos los técnicos invitados por cooperación. El usuario que se conecta no ve el registro de auditoría del operador; esa vista está reservada a la parte con la obligación de notificación. Sin embargo, sí puedes revisar tu propio historial de conexiones desde tu perfil: cuándo empezó cada sesión, desde qué región e IP de origen, la ubicación aproximada y cuántos datos se movieron. Ni los operadores ni los usuarios pueden editar ni eliminar los registros de auditoría — consulta la sección de retención y resistencia a la manipulación del registro de auditoría.

22. ¿Ve Mirox el contenido de mis sesiones?

No. La auditoría registra metadatos — conexiones, extremos, puertos, protocolos, marcas de tiempo y volúmenes de tráfico, además de qué páginas web de dispositivos tocó una sesión de Proxy — no el contenido de lo que haces. Las cargas útiles de los paquetes VPN, el cuerpo de las páginas web, las pulsaciones de teclas y las grabaciones de pantalla deliberadamente no se capturan, porque eso sería tanto problemático para la privacidad como innecesario para la notificación de cumplimiento. El límite de privacidad se describe en detalle en la sección de privacidad del Registro de auditoría de acceso.

Funciones relacionadas

VPN — el túnel personal que alcanza todas las redes de planta para las que estás autorizado
Proxy — acceso basado en navegador a las interfaces web de los dispositivos de la planta, sin necesidad de cliente VPN
Registro de auditoría de acceso — el registro alineado con KRITIS y NIS2 de todo el acceso por VPN y Proxy
Sistema de permisos — la correspondencia entre roles y trabajos que decide quién alcanza qué plantas
Configuración de la VPN personal — guía paso a paso para emitir, rotar y usar tu perfil VPN